Tham gia Đăng nhập
Điểm:3
avatar Server

Các mục nhập không mong muốn trong các khóa được ủy quyền - máy chủ của tôi có bị xâm phạm không?

lá cờ cn
waffl

Gần đây tôi đã triển khai một máy chủ đám mây mới và đã cài đặt dokku. Tôi đã thiết lập hai ứng dụng đơn giản, ứng dụng PHP và Vue/tĩnh và plugin cho letencrypt.

Mọi thứ đều ổn nhưng hai ngày sau tôi nhận thấy ba mục bất thường trong ủy quyền_keys tệp cho người dùng dokku. Tôi tự hỏi liệu máy chủ của mình có bị xâm phạm bằng cách nào đó hay tôi đang phản ứng thái quá:

Các phím đã được xử lý lại:

command="FINGERPRINT=SHA256:<redacted> NAME=\"admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding,no -port-forwarding ssh-rsa <khóa pub được chỉnh sửa lại>
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin1\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding ,ssh-rsa không chuyển tiếp cổng
command="FINGERPRINT=SHA256:<redacted> NAME=\"web-admin2\" `cat /home/dokku/.sshcommand` $SSH_ORIGINAL_COMMAND",no-agent-forwarding,no-user-rc,no-X11-forwarding ,ssh-rsa không chuyển tiếp cổng <khóa pub đã biên tập lại> jondo@debian

Dokku có một sshcommand tính năng (liên kết) nhưng tôi chưa bao giờ sử dụng nó.

Nhìn Cuối cùng.bash_history cho thấy không có gì bất thường và /var/log/auth.log tiết lộ những nỗ lực vũ phu vô tận mà tôi tưởng tượng rằng tất cả các máy chủ công cộng đều phải đối mặt, nhưng không có thông tin đăng nhập bất thường nào.

111
1 + 4
lá cờ pl
Moshe Katz
Tài liệu dokku cho biết: âCảnh báo: Nếu bạn không hoàn tất thiết lập thông qua trình cài đặt web (ngay cả khi bạn thiết lập khóa SSH và máy chủ ảo theo cách khác), cài đặt Dokku của bạn sẽ vẫn dễ bị tấn công đối với bất kỳ ai tìm thấy trang thiết lập và chèn khóa của họ ." Đây có thể là vấn đề của bạn?
2
Hồi đáp
A.B avatar
lá cờ cl
A.B
Vậy nội dung hiện tại của `~dokku/.sshcommand` là gì?
0
Hồi đáp
lá cờ cn
waffl
@MosheKatz - bạn hoàn toàn chính xác, đó chính xác là vấn đề - sau khi cài đặt, tôi chỉ cần tiếp tục và thực hiện mọi thứ thông qua dòng lệnh và không thể đóng quy trình cài đặt web. Điều này thực sự được đề cập trong tài liệu (được cấp dưới màn hình đầu tiên) và người ta có thể kiểm tra xem trình cài đặt có còn chạy qua `ps auxf | grep dokku-installer` - Có lẽ bạn muốn gửi câu trả lời này dưới dạng câu trả lời và tôi có thể đánh dấu câu trả lời là đã giải quyết. @A.B không có tệp `.sshcommand`.
1
Hồi đáp
A.B avatar
lá cờ cl
A.B
@waffl có thể có một cái đã bị xóa.Bạn nên tham khảo Q/A này về các hệ thống bị xâm nhập: https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server
0
Hồi đáp
Điểm:2
avatar Server
lá cờ pl
Moshe Katz

dokku tài liệu nói:

Cảnh báo: Nếu bạn không hoàn tất thiết lập thông qua trình cài đặt web (ngay cả khi bạn đã thiết lập khóa SSH và máy chủ ảo), cài đặt Dokku của bạn sẽ vẫn dễ bị tấn công đối với bất kỳ ai tìm thấy trang thiết lập và chèn khóa của họ.

Nếu bạn không làm điều này, ai đó (có thể đang sử dụng máy quét tự động) đã tìm thấy liên kết này và nhập khóa của riêng họ.

Thật không may, tôi không biết đủ về dokku để cho bạn biết liệu điều này có chắc chắn có nghĩa là hệ thống của bạn bị xâm phạm hay không, nhưng tôi chắc chắn sẽ rất nghi ngờ về trường hợp này.

0 + 0
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.